Skip to content

Trefferquote der RFCI-Blacklist

Ein oft bemängeltes Problem der alten RFCI-Blacklist war und ist (zugegeben) ihre schlechte Trefferquote.

Ich bin derzeit sehr stark im Projekt RFCI "neu" drin, und habe mir bereits meine Meinung gebildet. Ich bin fest davon überzeugt, dass die mangelnde Automation, die viele händische Arbeit und damit verbunden das langsame (Daten-)Wachstum ein Haupt-Problem ist bzw. war.

Neue Domains kamen praktisch nur durch manuelle Submissions auf der Webseite zustande, sprich der Datenbestand wuchs nur, wenn sich jemand die Arbeit gemacht hat, auffällige Domains / Hosts zu melden. Ich glaube, dass hier ohne einen Automatismus kaum eine Besserung zu erwarten ist.

Wir haben uns daher entschlossen, neue Domains mit jeder Anfrage an den Master DNS-Server zu lernen und mit einem gewissen Zeitversatz in eine interne Datenbank aufzunehmen und zu prüfen. WICHTIG: Die damit verbundenen rechtlichen Fragen klären wir später, derzeit möchten wir erstmal das Technische auf die Beine stellen.

Eine kurze Info aus dem Maschinenraum (tm): Derzeit "lernen" wir etwa 12.000 neue Domains pro Stunde, ergo etwa eine viertel Million pro Tag. Das wird natürlich nicht ganz anhalten können, aber ich hoffe, dass wir in akzeptabler Zeit eine gute Übersicht (Ausschnitt) bekommen.

Zur Sicherheit: In den DNS-Abfragen sehen wir keine E-Mail-Adressen, sondern nur (sowieso öffentliche) Domains.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Sven

QUOTE:
Zur Sicherheit: In den DNS-Abfragen sehen wir keine E-Mail-Adressen, sondern nur (sowieso öffentliche) Domains.

Es ist keinesfalls öffentlich, von welchen Domains ich (wieviele) Mails erhalte - das Abfragen von R(H)BLs kann Datenschutztechnisch durchaus bedenklich sein (weshalb man solche Zonen in der Regel spiegelt und gegen den eigenen bzw. einen zusätzlichen, dedizierten named abfragt; die üblichen Verdächtigen bieten da diverse Zugänge an).

Sec

Es gab mal eine Blocklist die alle Domains enthielt die jünger als $ZEIT (1 Monat? 2 Wochen?) waren. Fand das damals um die ganzen "Melde Domain an, Spamme, lösche sie wieder" wegzufiltern ganz praktisch. Wenn so was nebenbei abfällt fand ich das ganz praktisch :-)

Andreas

Sobald sich so etwas durchsetzt haben sich die Spammer angepasst.
Einfach 3-4 Monate warten nach Registrierung der Domain.

Wobei ja eh viel Spam über Freemailanbieter oder unsichere Mailserver weg geht.

Sec

Der 'Trick' ist/war das Spammer die Domains nach dem Spammen zurückgeben und so Geld sparen. Das geht nicht mehr so gut, wenn sie erst 3 Monate warten müssen.

Andreas

Ich glaube darum geht es denen weniger.
Wir reden da von wenigen USD Kosten für eine Domain. Die sowieso oftmals für ein Jahr zu tragen sind, auch wenn ich sie nur 3 Monate habe.

Die Domains sind nach dem Spammen einfach nur verbrannt.

Sec

Ich weiß nicht, ob das heute noch gibt, aber meines Wissens gab es früher Möglichkeiten Domains nach wenigen Tagen an die Registry zurückzugeben ohne das Kosten anfielen. Leider finde ich auf die schnelle keinen Link dazu.

Benoit Panizzon

Leider scheint der DNS Server nun zu allen Querries eine positive Rückmeldung zu geben. Die Mailingliste Webseite ist dieselbe wie die Haupt Webseite.
Es ist kaum möglich die Betreiber der Seite zu erreichen, weil es wie eine Domain Broker Webseite aussieht.

Wurde das Projekt evtl. eingestampft und zeiten nun alle DNS Einträge auf Wildcard Entries?

127.0.0.1.whois.bl.rfc-ignorant.de has address 216.8.179.23

127.0.0.1.whois.bl.rfc-ignorant.de descriptive text "v=spf1"

Viel sagt dies ja nicht aus...

Manuel Schmitt (manitu)

Korrekt - da gab es aber ein Mailing an die Mailingliste!

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen